La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA.

PubblicatoBernarda Vigano Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA."— Transcript della presentazione:

1 TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA Web (consultazione carta del cittadino) Analisi applicazione CRM (consultazione referti medici)

2 ANALISI Applicazione SISS E’stata rilevata una architettura molto complessa, che demanda alcune funzioni critiche al client SISS La complessità architetturale, soprattutto client-side, rende intrinsecamente meno sicuro il sistema CRS-SISS E’ stata analizzata l’architettura nella sua interezza e approfondite le problematiche precedentemente evidenziate Sono state evidenziate nuove problematiche a livello client.

3 ANALISI Applicazione SISS Lo schema architetturale mostra come molti controlli e richieste sono demandate a servizi locali che si interfacciano con la pagina Web.

4 Sommario delle criticità

5 Applicazione SISS – Risk analysis High: Errata implementazione del meccanismo di controllo di accesso al SEBContainer High: Errata implementazione del meccanismo di controllo di accesso alla APPLET High: Errata implementazione del meccanismo di controllo dell'accesso al menu SISS High: Controlli client-side High: Accesso non autorizzato alla funzionalità di ricerca referti

6 Medium: Errata configurazione del DBMS MySQLMedium: Logica client-side Medium: Errata scelta di protocolli in chiaro per comunicazioni client/client. Medium: Errata scelta di protocolli in chiaro per comunicazioni client/server Medium: Accesso non autorizzato alla lista di funzionalità disponibile per tutte le utenze. Medium: Analisi della gestione delle condizioni di errore 1. Medium: Analisi della gestione delle condizioni di errore 2. Medium: Mancanza di controlli di sessione nell'accesso alle funzionalità remote Low: Presenza di informazioni sensibili nei file di configurazione. Applicazione SISS – Risk analysis

7 Applicazione SISS - Risultati Il sistema ha evidenziato forti carenze di sicurezza lato client è infatti stato possibile: –Caricare la applet da una pagina proveniente da un host arbitrario. Ottenendo il controllo completo dell’utenza definita dalla smart card inserita nel momento dell’attacco.

8 Applicazione SISS - Risultati Accedere al SebContainer in maniera ‘Blind’ da una pagina html proveniente da un host arbitrario. O accedere all SebContainer da un host remoto con accesso alla porta 8000. Ottenendo parte o completo controllo sulle operazioni effettuabili dall’utenza definita dalla smart card inserita nel momento dell’attacco.

9 Applicazione SISS - Risultati Utilizzando uno dei due attacchi suddetti in concomitanza all’abuso dei metodi SOAP esposti, è stato possibile ottenere controllo totale della macchina client e dei dati.

10 Applicazione SISS - Risultati E’risultato possibile accedere: –ai menu applicativi corrispondenti a ruoli non attivi sulla smart card operatore consegnata ad HT per i test. –Alla lista delle funzionalità di tutte le tipologie di utenze. –E’stato realizzato uno scenario di attacco in cui un operatore con ruolo “Impiegato Amministrativo”(54) accede a parte delle funzionalità previste per il ruolo “Medico di Pronto Soccorso”(52) –E’stato possibile accedere ad alcuni dati di natura sanitaria (patologie, ricoveri) relativi ad un “cittadino”di test

11 Azioni Correttive Correzione delle vulnerabilità individuate secondo quanto indicato nel documento “Azioni correttive” Alcune delle problematiche non sono probabilmente risolvibili nel breve periodo dal momento che coinvolgono aspetti architetturali del sistema.

12 Azioni Correttive

Scaricare ppt "TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA."

Presentazioni simili

XmlBlackBox La presentazione Alexander Crea 11 Aprile 2010 La presentazione Alexander Crea 11 Aprile 2010.

XmlBlackBox La presentazione Alexander Crea 11 Aprile 2010 La presentazione Alexander Crea 11 Aprile 2010.
Prototipo del Portale Fiscale per le Aziende. Portale Fiscale x le Aziende Area informativa news Area abbonati, accesso alla home page personalizzata,

Prototipo del Portale Fiscale per le Aziende. Portale Fiscale x le Aziende Area informativa news Area abbonati, accesso alla home page personalizzata,
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità B1 Introduzione alle basi di dati.

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità B1 Introduzione alle basi di dati.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Informatica e Telecomunicazioni

Informatica e Telecomunicazioni
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Java Enterprise Edition (JEE)

Java Enterprise Edition (JEE)
Introduzione ai Web Services. E' un nuovo meccanismo RPC ottimizzato per l'uso in Internet Un qualunque Client su una generica piattaforma deve poter.

Introduzione ai Web Services. E' un nuovo meccanismo RPC ottimizzato per l'uso in Internet Un qualunque Client su una generica piattaforma deve poter.
Pagina 1 PRESENTAZIONE DELLA POSIZIONE ESPRESSA DA TIM NELLA CONSULTAZIONE PUBBLICA SU ENUM Napoli, 4 novembre 2003.

Pagina 1 PRESENTAZIONE DELLA POSIZIONE ESPRESSA DA TIM NELLA CONSULTAZIONE PUBBLICA SU ENUM Napoli, 4 novembre 2003.
XmlBlackBox La presentazione Alexander Crea 7 Giugno 2010 La presentazione Alexander Crea 7 Giugno 2010.

XmlBlackBox La presentazione Alexander Crea 7 Giugno 2010 La presentazione Alexander Crea 7 Giugno 2010.
13/01/2014 1 Anno Accademico 2009-2010 Flavio Giovarruscio e Riccardo Tribbia Relatore: Prof. Stefano Paraboschi Realizzazione di un sistema sicuro di.

13/01/ Anno Accademico Flavio Giovarruscio e Riccardo Tribbia Relatore: Prof. Stefano Paraboschi Realizzazione di un sistema sicuro di.
Valutazione di un MMG Dr A.Romboli ASL 2 Lucca

Valutazione di un MMG Dr A.Romboli ASL 2 Lucca
APPLICAZIONI E BASI DATI DISTRIBUITE

APPLICAZIONI E BASI DATI DISTRIBUITE
Seconda parte: i sistemi informativi in rete

Seconda parte: i sistemi informativi in rete
Il Framework di riferimento del progetto

Il Framework di riferimento del progetto
Milano – 31 Gennaio 2006 Da Milano sicura a Milano migliore.

Milano – 31 Gennaio 2006 Da Milano sicura a Milano migliore.
Sistema Geomonitor Schema di funzionamento generale

Sistema Geomonitor Schema di funzionamento generale
Daniel Stoilov Tesi di Laurea

Daniel Stoilov Tesi di Laurea
IL PC NELLA NOSTRA VITA Il PC fa ormai parte della nostra vita. Ha acquisito un ruolo fondamentale, sia in ambito domestico che lavorativo (ambito organizzativo,

IL PC NELLA NOSTRA VITA Il PC fa ormai parte della nostra vita. Ha acquisito un ruolo fondamentale, sia in ambito domestico che lavorativo (ambito organizzativo,

Presentazioni simili

Annunci Google